Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cómo configurar una conexión L2TP/IPSec mediante autenticación clave de uso compartido previo

Importante
Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad de él y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
INTRODUCCIÓN
Microsoft Windows 2000 crea automáticamente una directiva de Seguridad del protocolo Internet (IPSec) que se usa con las conexiones del Protocolo de túnel de nivel 2 (L2TP)/IPSec que requieren un certificado para la autenticación de Intercambio de claves de Internet (IKE, Internet Key Exchange). Microsoft admite las implementaciones de red privada virtual (VPN) entre puertas de enlace L2TP/IPSec mediante el uso de una clave previamente compartida para la autenticación IKE. Sin embargo, no proporciona soporte técnico para utilizar una clave previamente compartida para la autenticación IKE en las conexiones de clientes L2TP/IPSec de acceso remoto. Windows 2000 cumple con el RFC 2409 de IKE y permite implementar una clave previamente compartida para la autenticación IKE en las conexiones de clientes L2TP/IPSec de acceso remoto. Sin embargo, recomendamos que sólo utilice esta implementación para realizar pruebas.

Para implementar el método de autenticación con claves previamente compartidas con el fin de usarse con una conexión L2TP/IPSec:
  • Debe agregar el valor del Registro ProhibitIpSec a los equipos basados en Windows 2000 de los dos extremos.
  • Debe configurar manualmente una directiva IPSec para que se pueda establecer una conexión L2TP/IPSec entre dos equipos basados en Windows 2000.
En este artículo se describe cómo configurar dos servidores del Servicio de enrutamiento y acceso remoto basados en Windows 2000 que se conectan a través de una red de área local (LAN) para utilizar una conexión L2TP/IPSec con autenticación con claves previamente compartidas. También se incluye información sobre cómo configurar una directiva IPSec para aceptar las conexiones utilizando varias claves previamente compartidas o CA.
Más información
Advertencia
Si utiliza incorrectamente el Editor del Registro pueden surgir problemas graves que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
Para configurar dos servidores del Servicio de enrutamiento y acceso remoto basados en Windows 2000 que se conecten a través de una LAN para utilizar una conexión L2TP/IPSec con autenticación de clave previamente compartida, debe agregar el valor del Registro ProhibitIpSec a cada equipo basado en Windows 2000 del extremo de una conexión L2TP/IPSec con el fin de evitar que se cree el filtro automático del tráfico L2TP/IPSec.

Cuando el valor del Registro ProhibitIpSec se establece en 1, el equipo basado en Windows 2000 no crea el filtro automático que utiliza la autenticación de CA. En su lugar, comprueba si hay una directiva IPSec de Active Directory o local.

Para agregar el valor del Registro ProhibitIpSec a un equipo basado en Windows 2000, siga estos pasos:
  1. Haga clic en Inicio, en Ejecutar, escriba regedt32 y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. En el menú Edición, haga clic en Agregar valor.
  4. En el cuadro Nombre del valor, escriba ProhibitIpSec.
  5. En la lista Tipo de datos, haga clic en REG_DWORD y, a continuación, haga clic en Aceptar.
  6. En el cuadro Datos, escriba 1 y haga clic en Aceptar.
  7. Cierre el Editor del Registro y reinicie el equipo.

Cómo crear una directiva IPSec para usarse con conexiones L2TP/IPSec con una clave previamente compartida

En el procedimiento siguiente se supone que el valor del Registro ProhibitIpSec se agrega a ambos servidores de Enrutamiento y acceso remoto basados en Windows 2000 de los extremos, y que se han reiniciado.
  1. Haga clic en Inicio, en Ejecutar, escriba mmc y haga clic en Aceptar.
  2. Haga clic sucesivamente en Consola, Agregar o quitar complemento, Agregar, Administración de directivas de seguridad IP, Agregar, Finalizar, Cerrar y, por último, haga clic en Aceptar.
  3. Haga clic con el botón secundario del mouse en Directivas de seguridad IP en el equipo local, haga clic en Crear directiva de seguridad IP y, a continuación, haga clic en Siguiente.
  4. En el cuadro de diálogo Nombre de la directiva de seguridad IP, escriba el nombre de la directiva de Seguridad IP en el cuadro Nombre y, a continuación, haga clic en Siguiente.
  5. En el cuadro de diálogo Peticiones para la comunicación segura, desactive la casilla de verificación Activar la regla de respuesta predeterminada y, a continuación, haga clic en Siguiente.
  6. Haga clic para activar la casilla de verificación Modificar propiedades y, a continuación, haga clic en Finalizar.
  7. En el cuadro de diálogo Nueva directiva de seguridad IP, en la ficha Reglas haga clic en Agregar y, a continuación, haga clic en Siguiente.
  8. En el cuadro de diálogo Punto final del túnel, haga clic en Esta regla no especifica un túnel y, a continuación, haga clic en Siguiente.
  9. En el cuadro de diálogo Tipo de red, haga clic en Todas las conexiones de red y, a continuación, haga clic en Siguiente.
  10. En el cuadro de diálogo Método de autenticación, haga clic en Usar esta cadena para proteger el intercambio de claves (clave previamente compartida), escriba una clave previamente compartida y, a continuación, haga clic en Siguiente.
  11. En el cuadro de diálogo Lista de filtros IP, haga clic en Agregar, en el cuadro Nombre escriba un nombre para la lista de filtros IP, haga clic en Agregar y, a continuación, haga clic en Siguiente.
  12. En el cuadro de diálogo Origen del tráfico IP, en el cuadro Dirección de origen haga clic en Dirección IP específica, en el cuadro Dirección IP escriba la dirección del Protocolo de control de transporte/Protocolo Internet (TCP/IP) del servidor de origen basado en Windows 2000 de Enrutamiento y acceso remoto y, a continuación, haga clic en Siguiente.

    Nota
    La dirección de origen que se usa en cada servidor basado en Windows 2000 de Enrutamiento y acceso remoto de los extremos debe coincidir. Por ejemplo, si la dirección de origen es 1.1.1.1, debe utilizar 1.1.1.1 como dirección de origen en ambos servidores basados en Windows 2000 de Enrutamiento y acceso remoto de los extremos.
  13. En el cuadro de diálogo Destino del tráfico IP, en el cuadro Dirección de destino haga clic en Dirección IP específica, escriba la dirección TCP/IP del servidor basado en Windows 2000 de Enrutamiento y acceso remoto de destino y, a continuación, haga clic en Siguiente.

    Nota
    La dirección de destino que se usa en cada servidor basado en Windows 2000 de Enrutamiento y acceso remoto de los extremos debe coincidir. Por ejemplo, si la dirección de destino es 2.2.2.2, debe utilizar 2.2.2.2 como dirección de destino en ambos servidores basados en Windows 2000 de Enrutamiento y acceso remoto de los extremos.
  14. En el cuadro de diálogo Tipo de protocolo IP, en el cuadro Seleccione un tipo de protocolo haga clic en UDP y, a continuación, haga clic en Siguiente.
  15. En el cuadro de diálogo Puerto de protocolo IP, haga clic en Desde este puerto, en el cuadro Desde este puerto escriba 1701, haga clic en A cualquier puerto y, a continuación, haga clic en Siguiente.
  16. Haga clic para activar la casilla de verificación Modificar propiedades, haga clic en Finalizar y, a continuación, haga clic para activar la casilla de verificación Reflejado. Hacer coincidir paquetes con las direcciones de origen y destino opuestas en el cuadro de diálogo Propiedades del Filtro.
  17. Haga clic en Aceptar y, a continuación, en Cerrar.
  18. En el cuadro de diálogo Lista de filtros IP, haga clic en el filtro IP que ha creado y, a continuación, haga clic en Siguiente.
  19. En el cuadro de diálogo Acción de filtrado, haga clic en Agregar y, a continuación, cree una nueva acción de filtro que especifique qué algoritmos de cifrado e integridad se utilizarán.

    Nota
    Esta nueva acción de filtro debe tener deshabilitada la característica "Aceptar comunicación no segura, pero responder siempre usando IPSec" para mejorar la seguridad.
  20. Haga clic en Siguiente, en Finalizar y en Cerrar.
  21. Haga clic con el botón secundario del mouse en la directiva IPSec recién creada y, a continuación, haga clic en Asignar.
Nota
Debe configurar de la misma manera ambos servidores basados en Windows 2000 de Enrutamiento y acceso remoto de los extremos. El filtro IPSec se ve desde un lado de la conexión cuando se configura en el primer servidor basado en Windows 2000 de Enrutamiento y acceso remoto del extremo y, a continuación, se crea una réplica del filtro IPSec en el segundo servidor del otro extremo. Con el ejemplo descrito anteriormente en este artículo, si el primer servidor del extremo tiene la dirección TCP/IP 1.1.1.1 y el segundo del otro extremo tiene la dirección TCP/IP 2.2.2.2, se crearía un filtro dentro de la directiva IPSec en ambos servidores con la dirección de origen 1.1.1.1 y la dirección de destino 2.2.2.2. Esto permite iniciar la conexión a alguno de los servidores basados en Windows 2000 de Enrutamiento y acceso remoto de los extremos.

Cómo configurar una directiva IPSec para aceptar conexiones con varias claves previamente compartidas o CA

Una vez creada una directiva con un filtro mediante una clave previamente compartida, debe crear una regla adicional dentro de la directiva IPSec para las demás conexiones que requieran claves previamente compartidas diferentes o CA.

Para obtener información adicional sobre los filtros automáticos con CA que crea Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
248750 Descripción del filtro automático creado para el uso con L2TP/IPSec
253498 Cómo instalar un certificado para su uso con Seguridad IP


Microsoft no proporciona soporte técnico para usar claves previamente compartidas en clientes remotos o VPN L2TP/IPSec por las razones siguientes:
  • Somete a un protocolo seguro a un problema muy conocido de inseguridad en su utilización con la selección de las contraseñas. Se ha visto que los ataques publicados revelan las claves previamente compartidas.
  • No se puede implementar de forma segura. Dado que el usuario que configura una clave previamente compartida requiere acceso a la puerta de enlace de la compañía, muchos usuarios lo sabrán y la clave se convierte en una "clave previamente compartida por el grupo". Es casi seguro que haya que anotar una clave previamente compartida larga. El acceso a un equipo individual no se puede revocar hasta que todo el grupo use una nueva clave previamente compartida.
  • Como Microsoft ha documentado en la Ayuda, capítulos del kit de recursos y en el artículo de Microsoft Knowledge Base número 248711, la clave previamente compartida de IPSec sólo se proporciona en Windows 2000 para cumplir el RFC, para realizar pruebas de interoperabilidad y para conseguir interoperabilidad siempre que la seguridad no sea importante. La clave previamente compartida se almacena en el Registro local al que sólo los administradores locales tienen acceso de lectura, pero ellos tienen que saberla y establecerla. Por consiguiente, cualquier administrador local puede verla en el futuro o cambiarla.
  • El costo en soporte técnico derivado de la utilización de una clave previamente compartida tanto para los clientes como para Microsoft sería alto.
  • Obtener certificados para un equipo basado en Windows 2000 puede ser tan fácil como realizar una solicitud a una página Web o incluso más con la inscripción automática de Directiva de grupo de Windows 2000 cuando el cliente basado en este sistema es miembro de un dominio de Windows 2000. Éste suele ser el método más seguro para implementar VPN basadas en IPSec.
Microsoft admite el uso de túneles L2TP/IPSec VPN entre puertas de enlace con una clave previamente compartida porque debe configurarse localmente en esa puerta de enlace y esto debe hacerlo para cada dirección IP estática un administrador de la puerta de enlace que tenga muchos conocimientos. Los túneles IPSec sólo se admiten donde se utilicen direcciones IP estáticas y con selectores de directivas basados en la dirección, y no el puerto y el protocolo. Recomendamos el uso de L2TP/IPSec para túneles entre puertas de enlace. Utilice el modo de túnel IPSec entre puertas de enlace únicamente si no puede usar L2TP/IPSec.
secreto
Propiedades

Id. de artículo: 240262 - Última revisión: 10/12/2007 06:51:00 - Revisión: 4.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbhowto kbenv kbnetwork KB240262
Comentarios